F5負(fù)載均衡綜述

趙中英 李斌 王敏

摘 要：F5是當(dāng)下比較流行的性能優(yōu)化產(chǎn)品之一，被廣泛應(yīng)用在很多大型的互聯(lián)網(wǎng)企業(yè)當(dāng)中，國家電網(wǎng)作為關(guān)系國計民生的電力單位，其數(shù)據(jù)網(wǎng)的規(guī)模、數(shù)量非常龐大，因此，F(xiàn)5在國網(wǎng)公司的應(yīng)用非常廣泛；本文就F5負(fù)載均衡進(jìn)行了詳細(xì)的概述，包括F5的配置、F5的應(yīng)用和F5優(yōu)點等。并對當(dāng)下比較流行的解決方案進(jìn)行了綜述和分析。

關(guān)鍵詞：F5；負(fù)載均衡；冗余；高可用；安全性

中圖分類號：TN915；TP393.02 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2019）02-0060-02

Abstract：F5 is one of the popular performance optimization products，which is widely used in many large-scale internet enterprises. As the national economy and people’s livelihood power unit，the State Grid has a very large scale and number of data networks. Therefore，the application of F5 in the State Grid Company is very extensive. This paper gives a detailed description of F5 load balancing. An overview is given，including the configuration of F5，the application of F5 and the advantages of F5. A summary and analysis is made for the popular solutions.

Keywords：F5；load balancing；redundancy；high availability；security

0 引 言

根據(jù)功能和表達(dá)方法可以將計算機(jī)網(wǎng)絡(luò)劃分為七層，即OSI七層網(wǎng)絡(luò)模型，一般情況下，負(fù)載均衡被應(yīng)用在二層、四層和七層這三個層次，第二層的負(fù)載均衡就是馬玉博等人[1]提出的Trunking技術(shù)，這種技術(shù)就是在物理鏈路層，將多條鏈路進(jìn)行聚合使用。負(fù)載均衡大多都被使用在應(yīng)用層和網(wǎng)絡(luò)層，其不依賴于現(xiàn)有的設(shè)備，而是一種獨立的性能優(yōu)化設(shè)備。

近年來，隨著用戶數(shù)量的劇增和網(wǎng)絡(luò)拓?fù)涞拇竺娣e延伸，網(wǎng)絡(luò)帶寬不足、速度緩慢等問題日益明顯，因此，加強(qiáng)對負(fù)載均衡應(yīng)用的研究十分必要。

1 負(fù)載均衡的冗余性

在物理鏈路層一般會采用負(fù)載均衡技術(shù)，將多條物理鏈路進(jìn)行聚合，進(jìn)行負(fù)載均衡，在鏈路層進(jìn)行負(fù)載均衡需要解決兩個難題，一個是出口負(fù)載均衡，另一個是入口負(fù)載均衡，其中出口負(fù)載均衡是指內(nèi)部網(wǎng)絡(luò)域或自治域需要訪問互聯(lián)網(wǎng)資源，這種由內(nèi)而外的訪問，如何實現(xiàn)負(fù)載均衡；入口負(fù)載均衡是指互聯(lián)網(wǎng)用戶需要訪問內(nèi)部自治域資源或者信息，這種由外而內(nèi)的訪問方式需要實現(xiàn)負(fù)載均衡。以上兩種不同方向的信息交互需要完成負(fù)載均衡的問題可以借助BIG-IP系列產(chǎn)品，BIG-IP可以完美地解決訪內(nèi)和訪外問題。其具體實現(xiàn)方法是根據(jù)服務(wù)器的響應(yīng)速度和數(shù)據(jù)處理效率智能地進(jìn)行鏈路選擇和切換，實現(xiàn)二層的物理鏈路負(fù)載均衡[2]。

2 負(fù)載均衡在防火墻上的應(yīng)用

防火墻是各互聯(lián)網(wǎng)企業(yè)必不可少的安全設(shè)備，防火墻都是進(jìn)行雙向策略的隔離和限制，在具體配置時，防火墻的進(jìn)和出都是分開配置，并同時生效；進(jìn)的一側(cè)全部都是向內(nèi)訪問，出的一側(cè)全部都是向外訪問，防火墻的吞吐能力較數(shù)據(jù)鏈路的轉(zhuǎn)發(fā)率低，只能達(dá)到鏈路轉(zhuǎn)發(fā)率的30%，為了使其速率達(dá)到一致，一般會部署多臺防火墻同步使用，這就需要進(jìn)行防火墻的負(fù)載均衡配置。F5的防火墻方案可以有效解決防火墻的各種瓶頸問題，包括防火墻的異構(gòu)問題，自動排錯問題等[3]。

3 負(fù)載均衡在服務(wù)器端的應(yīng)用

F5負(fù)載均衡在服務(wù)器上應(yīng)用廣泛，對于一般的服務(wù)器，只要在BIG-IP配置虛擬服務(wù)器，然后由虛擬服務(wù)器通過虛擬機(jī)Pool池關(guān)聯(lián)實際服務(wù)器即可實現(xiàn)服務(wù)器的負(fù)載均衡；BIG-IP除了可以配置負(fù)載均衡之外，還有監(jiān)控和自動化刪除的功能，監(jiān)聽器一旦檢測到服務(wù)器出現(xiàn)異常情況，就可以將損壞的服務(wù)器從服務(wù)器Pool池中剔除出去，以免影響其他服務(wù)器；F5可以通過UIE+iRules和BIG-IP對服務(wù)器的性能、數(shù)據(jù)處理能力、是否空閑等狀態(tài)進(jìn)行檢查，同時還能對用戶的請求數(shù)據(jù)包進(jìn)行測試，提取其中的特征數(shù)據(jù)，從而判斷該請求更加符合哪一臺服務(wù)器的處理要求，從而將相應(yīng)的請求發(fā)送到對應(yīng)的服務(wù)器，有效地解決了流程和負(fù)載不均衡的問題，實現(xiàn)了資源利用的最大化，如圖1所示。

4 F5的高可用性

F5負(fù)載均衡設(shè)備的高可用性主要包括以下幾個方面：設(shè)備本身、鏈路端冗余和服務(wù)器端冗余，F(xiàn)5設(shè)備本身就具有高可用性，F(xiàn)5的BIG-IP可以使得負(fù)載均衡系統(tǒng)的處理能力接近100%，同時能夠?qū)崟r地優(yōu)化當(dāng)前的系統(tǒng)架構(gòu)，比如當(dāng)某服務(wù)器的節(jié)點損壞時，BIG-IP會自動檢測并剔除損壞的服務(wù)器節(jié)點，BIG-IP采用了熱備模式，如果運行中的BIG-IP出現(xiàn)故障，備用的BIG-IP會迅速接管當(dāng)前的業(yè)務(wù)，二者之間的切換是毫秒級，且會話信息也會一直在二者之間進(jìn)行同步，因此不會存在訪問間斷的情況。鏈路和服務(wù)器的冗余主要體現(xiàn)在F5在運行過程中對鏈路流量和服務(wù)器狀態(tài)的實時監(jiān)控，其中任何一條鏈路或者一臺服務(wù)器損壞，其他鏈路和服務(wù)器會馬上接管其任務(wù)[4]。

5 F5的安全性

F5的BIG-IP產(chǎn)品在設(shè)計的過程中，采用了防火墻機(jī)制，能夠抵御網(wǎng)站攻擊、拆除空閑的Session、抵御SYN攻擊、Land攻擊等，BIG-IP具有Dynamic Reaping、Delay Binding等安全技術(shù)，這些技術(shù)使得F5在訪問控制時可以配置自己的控制列表，支持SSH、Telnet等遠(yuǎn)程控制方法，F(xiàn)5的各項技術(shù)具有很強(qiáng)的擴(kuò)展性，通過授權(quán)的方式即可使用。F5的負(fù)載均衡在安全方面最突出的問題當(dāng)屬高并發(fā)的安全問題，針對高并發(fā)的安全性，一般都采用Http重定向、動態(tài)DNS、反向代理這三種模式的負(fù)載均衡，雖然這三種方式都各有其優(yōu)缺點，但在解決高并發(fā)問題方面，他們又都有各自相應(yīng)的優(yōu)勢和支持組件。

6 F5的系統(tǒng)管理

F5的BIG-IP產(chǎn)品支持多種管理方式，包括Web、SSH 等，同時BIG-IP支持日志記錄、站點監(jiān)控、站點評測和帶寬計費等各種功能，可以通過可視化的界面、告警面板等展示。F5支持服務(wù)管理、用戶管理、運營商NAT管理、IPv6管理、DNS服務(wù)管理、接入管理等，其中服務(wù)管理主要將擴(kuò)展、高可用、網(wǎng)絡(luò)流量的智能策略控制結(jié)合在一起；用戶管理主要將代理結(jié)合，同時保證了3A之間的互操作性，還能提供新型服務(wù)管理；運營商NAT管理，能夠支持大量的并行IP的鏈接管理；IPv6管理支持提供了IPv4和IPv6之間平滑遷移功能和并行管理；DNS服務(wù)管理主要支持更加智能的DNS分配，支持DNS查詢，數(shù)據(jù)分發(fā)等應(yīng)用管理；接入管理支持遠(yuǎn)程鏈接管理、可靠接入管理、完整接入管理等，這些豐富、智能的系統(tǒng)管理功能為負(fù)載均衡的應(yīng)用和管理提供了解決方案。

7 F5其它方面的應(yīng)用

F5除了以上幾方面的應(yīng)用之外還包括內(nèi)存擴(kuò)充能力、升級能力、壓縮功能、配置管理和iControl二次開發(fā)等應(yīng)用。F5在圖形界面方面的應(yīng)用也非常廣泛，其可以實現(xiàn)圖形化實時統(tǒng)計分析，可以對經(jīng)過的網(wǎng)絡(luò)數(shù)據(jù)包的大小進(jìn)行統(tǒng)計，對網(wǎng)絡(luò)的帶寬使用率，CPU使用率等參數(shù)進(jìn)行監(jiān)控和記錄；同時支持3A認(rèn)證，包括認(rèn)證、授權(quán)和統(tǒng)計；在交換機(jī)負(fù)載時，F(xiàn)5可以支持雙機(jī)熱備，進(jìn)行交換機(jī)的聯(lián)合防護(hù)以及進(jìn)行計算機(jī)的遠(yuǎn)程喚醒等。

參考文獻(xiàn)：

[1] 馬玉博.配置F5負(fù)載均衡 [J].網(wǎng)絡(luò)運維與管理，2014（11）：61-65.

[2] 李海軍.F5 BIG IP負(fù)載均衡解決方案在電信運營商中的應(yīng)用 [J].世界電信，2006，19（6）：63.

[3] 吳楚坤.國產(chǎn)產(chǎn)品替代F5的可行性探索 [J].金融科技時代，2017（6）：62-65.

[4] 景康，沈佳，高陽，等.負(fù)載均衡集中管理器的應(yīng)用研究 [J].信息技術(shù)與信息化，2014（10）：145-146.

作者簡介：趙中英（1990.12-），男，漢族，甘肅白銀人，畢業(yè)于重慶大學(xué)，工程師，碩士，主要研究方向：大數(shù)據(jù)新技術(shù)處理、網(wǎng)絡(luò)信息安全等技術(shù)領(lǐng)域；李斌（1985.06-），男，漢族，寧夏銀川人，畢業(yè)于武漢大學(xué)計算機(jī)學(xué)院，信息中心主任，中級工程師，本科，主要研究方向：信息自動化運維、系統(tǒng)自動化檢修新技術(shù)等領(lǐng)域；王敏（1992.03-），女，漢族，寧夏固原人，畢業(yè)于武漢大學(xué)計算機(jī)學(xué)院，工程師，碩士，主要研究方向：數(shù)據(jù)庫、負(fù)載均衡等技術(shù)領(lǐng)域。